Publicações

CMN impõe política de segurança cibernética às instituições

O Conselho Monetário Nacional (“CMN”) editou a Resolução nº 4.658/2018, por meio da qual determina que instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil (“BCB”), adotem política de segurança cibernética, que assegure a confidencialidade, integridade e disponibilidade dos dados e sistemas de informação utilizados.

O principal objetivo da política será reduzir a vulnerabilidade das instituições, ao passo que impõe a obrigação de rastreio de informações e estabelece as diretrizes para a definição de controles voltados à prevenção e tratamento dos incidentes que deverão ser pelas empresas que prestam serviços à instituição e que manuseiam dados sensíveis ou que sejam relevantes para a condução das atividades.

Ainda, determina o CMN que a Resolução seja divulgada não apenas interna e externamente, mas que se torne parte da cultura de segurança cibernética, por meio de programas de capacitação, prestação de informações a clientes e usuários sobre precaução na utilização de produtos e serviços e o comprometimento da alta administração com a melhoria contínua dos procedimentos.

Outro aspecto importante do normativo é a necessidade de que, previamente à contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, no Brasil ou no exterior, a instituição comunique o BCB, indicando os principais pontos do contrato.

Vale lembrar que, a despeito da necessidade da comunicação acerca da contratação ser feita com sessenta dias de antecedência, a celebração do contrato não está condicionada à autorização do BCB. No entanto, a autarquia federal possui a prerrogativa de vetar ou impor restrições, a qualquer tempo, quando constatar o descumprimento da norma ou quando forem impostas limitações à sua atuação.

Observa-se que a Resolução possui caráter que foge à mera aplicação interna, produzindo efeitos para um feixe de pessoas e empresas com quem a instituição se relaciona. Esta sistemática é fundamental, uma vez que a segurança cibernética não depende somente da instituição, envolvendo toda a cadeia de fornecedores e colaboradores.

Recentemente, foi noticiado que ocorreram vazamentos de dados do Banco Inter, que supostamente fora extorquido para não ter informações de clientes divulgadas. Apesar do Banco negar o vazamento, o caso nos mostra que, cada vez mais, é importante que os sistemas de tecnologia da informação e segurança de instituições financeiras sejam robustos e mitiguem, ao máximo, seu acesso por terceiros não autorizados.

 

Guilherme Bartoli de Almeida (guilherme@oliveiraramos.com.br)

Coordenador da Área Consultiva




Compartilhar